セキュリティについて
名称変更について
2025年3月に espar から espar vault (エスパーボルト)へ名称が変更されました。サービスの機能・仕様・価格に変更はありません。詳しくはこちらをご覧下さい。
共用公開サーバプラン・専用公開サーバプランでは、以下のようなセキュリティ対策や設定を行っています。(独自公開サーバプランは案件毎に異なります)
必要最低限の構成
静的Webサイトのホスティングに必要なもののみで構成されています。espar vault 公開サーバには、セキュリティ事故の原因として広く認識されている以下のものが存在しません。
- PHP等のサーバサイドプログラム言語
- MySQL等のデータベースシステム
- 上記に関連して必要となるソフトウェア群
上記の不存在を理由に、espar vault 公開サーバに対するSQLインジェクションやディレクトリトラバーサル等の攻撃はそもそも成立することがありません。
必要最低限のポート
悪意ある第三者からのアクセスを阻止するために以下の対策を施しています。
- TCP/80 および TCP/443 以外の全アクセスを拒否
- 例外的に弊社管理用ssh(TCP/22)を以下制限付きで許可
- 弊社IPでないIPからの接続は全て拒否
- root権限でのログイン試みは全て拒否
- root権限以外でもパスワード認証不可
- 公開鍵認証による接続が必須 (楕円曲線暗号Ed25519を採用)
- 弊社担当エンジニアが使う特定の端末以外からのアクセスは全て拒否
上記の対策を行う事により、公開サーバに不正侵入される事が原理的にないと言える環境を構築しています。
TLSバージョン
espar vaultの公開サーバではSSLやTLS1.0/1.1による通信を受け付けていません。espar vault 導入サイトを閲覧するにはTLS1.2以降で接続するブラウザが必要となります。TLS1.2に対応していないブラウザを使う閲覧者は、サイト表示ができなくなります。
TLS1.2以降に対応していないブラウザでは以下のような表示になります。
2024年現在、上記の表示となることはあらゆるブラウザでほぼありません。IE9やIE10などMicrosoft社でさえ動作保証しておらず、その使用を非推奨としているブラウザからのアクセスに限られます。もし当該のようなブラウザ利用者にもサイトを表示させたい場合、espar vault の導入は推奨しません。
証明書
espar vault の公開サーバでは、サーバ証明書として Let’s Encrypt のDV証明書を使用しています。
公開サーバ用証明書の新規発行・設置・更新の全てを弊社が行います。ただし導入初期の新規発行時には、ご協力が必要となる場合があります。詳しくは以下ページをご覧下さい。
導入後の定期的な更新作業は弊社が行います。証明書種別(DV/OV/EV)によるセキュリティレベルの差に懸念がある場合、 Q. Let’s Encrypt のDV証明書でセキュリティ的に大丈夫なのでしょうか? をご覧下さい。
負荷対策
公開サーバは、ロードバランサと2台以上のWebサーバ群で構成しており、過度なアクセスに対する負荷分散を行っています。
共用公開サーバプランにおける負荷分散用のサーバ台数はセキュリティ観点で非公開としています。専用公開サーバプランや独自公開サーバプランでは、基本構成を2台としていますが、詳細は個別の契約によって異なります。
常時監視
公開サーバは、弊社独自の監視システムにより24時間365日の監視を行なっています。サーバ群に異常が検出された場合、担当エンジニアにアラートが送出され、早期の異常解消を図る体制を整えています。